ESETは8月28日(現地時間)、「Analysis of two arbitrary code execution vulnerabilities affecting WPS Office」において、キングソフトが提供しているオフィスアプリ「Kingsoft WPS Office」に存在した緊急の脆弱性について分析結果を伝えた。この脆弱性は韓国の脅威グループ「APT-C-60」がバックドア「SpyGlace」の配布に悪用したとされる。
脆弱性の情報
ESETにより発見された脆弱性は「CVE-2024-7262」および「CVE-2024-7263」とされる。いずれも不適切なパス検証の脆弱性とされ、悪用されると任意のライブラリーをロードされる可能性がある。
APT-C-60が使用した具体的な攻撃手順は次のとおり。
- 表計算ドキュメントに悪意のあるリンクを挿入し、MHTML(MIME Encapsulation of Aggregate HTML)ファイルとしてエクスポートする
- MHTMLファイルに悪意のあるライブラリへの「imgタグ」を挿入する
- 被害者にMHTMLファイルを送付する
- 被害者がMHTMLファイルを開くと埋め込まれた「imgタグ」を表示するために、リモートから画像ファイルに偽装した悪意のあるライブラリが自動的にダウンロードされる
- 悪意のあるライブラリは「%localappdata%\Temp\wps\INetCache\」に保存されるため、パスを事前に推測することができる
- 最初に表計算ドキュメントに挿入したリンクは、この既知のパスにあるライブラリをロードするためのもの。被害者が表示された表計算ドキュメントのリンクをクリックすると、セキュリティ脆弱性により悪意のあるライブラリがロードされる
この攻撃を成功させるには、最後にリンクをクリックさせる必要がある。攻撃者は自然な流れでこれを実現するため、「スプレッドシートに見える画像」をドキュメントに貼り付け、画像にリンクする手法が用いられている。被害者は画像を認識できず、セルを選択するつもりで画像をクリックしてしまう可能性が高い。
なお、ESETの調査によると、この攻撃はエクスプローラーのプレビューペインからも実行可能とされる。つまり、被害者がプレビューペインを1回クリックするだけでバックドアに感染する可能性がある。
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- Kingsoft WPS Office 12.2.0.13110から12.2.0.17119までのバージョン
脆弱性が修正された製品
脆弱性が修正されたとされる製品およびバージョンは次のとおり。
- Kingsoft WPS Office 12.2.0.17153およびこれ以降のバージョン
対策
ESETは責任のある情報開示に基づきKingsoftと脆弱性の修正および公開について調整したが、キングソフトが公表に関心を示さなかったため、悪用の可能性が高まるとして分析結果を公表した。この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Kingsoft WPS Officeのユーザーには速やかなアップデートが推奨されている。